Bluebottle黑客使用签名的Windows驱动程序攻击银行-VPS资讯_海外云服务器资讯_海外服务器资讯

Bluebottle 黑客使用签名的 Windows 驱动程序攻击银行

已签名的 Windows 驱动程序已被用于对法语国家/地区银行的攻击，可能来自威胁参与者，该威胁参与者从多家银行窃取了超过 1100 万美元。

这些活动和目标符合 OPERA1ER 黑客的特征，这些黑客在 2018 年至 2020 年间至少成功发动了 35 次攻击。

据信该团伙有讲法语的成员，并在非洲开展活动，目标是该地区的组织，尽管他们也袭击了阿根廷、巴拉圭和孟加拉国的公司。

在今天的一份报告中，Broadcom Software 旗下部门赛门铁克的研究人员披露了他们追踪的名为 Bluebottle 的网络犯罪集团的活动详细信息，该集团与 OPERA1ER 团伙的战术、技术和程序 (TTP) 有着显着的相似之处。

网络安全公司 Group-IB 在 2022 年 11 月上旬发布的一份长篇报告中记录了OPERA1ER 的活动，研究人员在报告中指出缺乏定制恶意软件和大量使用现成工具（开源、商品、框架）。

赛门铁克的报告增加了一些技术细节，例如使用 GuLoader 工具加载恶意软件和签名驱动程序（内核模式）帮助攻击者终止在受害者网络上运行的安全产品的进程。

研究人员表示，该恶意软件有两个组件，“一个控制 DLL，它从第三个文件中读取进程列表，以及一个由第一个驱动程序控制并用于终止列表中的进程的签名‘帮助’驱动程序。”

看起来签名的恶意驱动程序已被多个网络犯罪集团用来禁用防御。Mandiant 和 Sophos 于 12 月中旬在一份列表中报告了这一问题，其中包括使用Microsoft 的 Windows 硬件开发人员计划的 Authenticode 签名验证的内核模式驱动程序。

Mandiant 将驱动程序跟踪为POORTRY，称其最早的迹象是在 2022 年 6 月，并且它与多种证书一起使用，其中一些被盗并在网络犯罪分子中很受欢迎。

赛门铁克研究人员发现的版本虽然是同一个驱动程序，但却使用了中国公司珠海联成科技有限公司的数字证书进行了签名。

这表明网络犯罪分子拥有可以提供来自可信实体的合法签名的提供商，因此他们的恶意工具可以通过验证机制并避免被发现。

研究人员指出，同一驱动程序被用于涉嫌导致针对加拿大非营利实体的勒索软件攻击的活动。

赛门铁克表示，他们看到的 Bluebottle 活动最近发生在 2022 年 7 月，并一直持续到 9 月。但是，其中一些可能会在几个月前的 5 月开始。

最近的攻击也显示了一些新的 TTP，其中包括在攻击的初始阶段使用 GuLoader。此外，研究人员发现有迹象表明威胁行为者使用 ISO 磁盘映像作为以工作为主题的鱼叉式网络钓鱼的初始感染媒介。

“然而，7 月份以工作为主题的恶意软件在路径中被观察到，表明它已安装为 CD-ROM。这可能表明插入了真正的光盘，但也可能是恶意的 ISO 文件被传送给受害者并安装了”——赛门铁克

赛门铁克研究人员分析了针对非洲国家三个不同金融机构的蓝瓶病毒攻击。其中一个威胁行为者依赖于系统上已有的多种双重用途工具和实用程序：

尽管受害网络上的最后一次活动出现在 9 月，但研究人员表示，Ngrok 隧道工具一直存在到 11 月，这支持了 Group-IB 关于 OPERA1ER 黑客长期（三到十二个月）坐在受感染网络上的发现。

Bluebottle 还使用了 GuLoader、从内存中提取密码的 Mimikatz、记录击键的 Reveal Keylogger 以及 Netwire 远程访问木马等恶意工具。

威胁行为者在初始妥协后大约三周开始使用命令提示符和 PsExec 进行手动横向移动活动。

虽然对攻击的分析和使用的工具表明 OPERA1ER 和 Bluebottle 是同一个组织，但赛门铁克无法确认他们看到的活动是否与 Group-IB 报告的一样成功获利。